Actualmente estoy revisando una aplicación web que utiliza cookies (no relacionadas con la autenticación) sin un conjunto de indicadores seguro, pero utiliza una API "de fondo" para recuperar datos autenticados mediante Autorización: Portador. Por ejemplo:
GET /api/v2/admins/me/account
HTTP/1.1 Host: www.example.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Referer: https://www.example.com/settings/
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6InNlZWstand0LTIwMTcwNzIwIn0.ew0KICAiaXNzIjogIkFQSV9HYXRld2F5IiwNCiAgImp0aSI6ICJlNjYyNTgyNy0zOGM3LTRhNzgtYTc2OS01MDg1OTYwZjMzNmIiLA0KICAiZXhwIjogVlayJdLA0KICAiZW52IjogIlByb2R1Y3Rpb24iDQp9.cYEIiaJUFXqTKZyTY3riECci3ZUspyPjZ7P4uflld90OJ9IoP2XuoCM35DEhUMzC1MoFU9CNp4lJPqMSy6JkUBzKVwJrG8F439NxM2T3UMHIIkPOD7n
Cookie: PHPSessionID=a5f9e49b-76f2-43b3-9094-a958bd472925;
Me proporcionará la siguiente respuesta:
HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Content-Length: 517
Connection: close
Cache-Control: no-cache
Content-Security-Policy: block-all-mixed-content
Date: Wed, 18 Apr 2018 21:27:51 GMT
Expires: -1
Pragma: no-cache
Server: nginx
Strict-Transport-Security: max-age=157680000
{"id":38259239, ... something important and relevant}
Según mi propio conocimiento, en el caso de una cookie SSL sin una situación de conjunto de marca segura:
Si el indicador de seguridad se establece en una cookie, los navegadores no enviarán la cookie en ninguna solicitud que utilice una conexión HTTP sin cifrar, lo que evitará que la cookie sea interceptada por un atacante que monitorea el tráfico de red. Si no se establece el indicador de seguridad, la cookie se transmitirá en texto sin cifrar si el usuario visita alguna URL HTTP dentro del alcance de la cookie. Un atacante puede inducir este evento al proporcionarle a un usuario enlaces adecuados, ya sea directamente o a través de otro sitio web. Incluso si el dominio que emitió la cookie no aloja ningún contenido al que se accede a través de HTTP, un atacante puede usar enlaces de la forma enlace para realizar el mismo ataque. Para aprovechar esta vulnerabilidad, un atacante debe estar adecuadamente posicionado para escuchar a escondidas el tráfico de la red de la víctima.
¿Podría ser capaz de interceptar mediante el uso del mismo principio o tipo de ataque relacionado con el token "Autorización: Portador"?